Esercitazione: Proteggere l'hub virtuale con Firewall di Azure Manager

  • Articolo

Gestione firewall di Azure consente di creare hub virtuali protetti per proteggere il traffico di rete cloud destinato a indirizzi IP privati, a soluzioni PaaS di Azure e a Internet. Il routing del traffico verso il firewall è automatizzato, quindi non è necessario creare route definite dall'utente.

Gestione firewall supporta anche un'architettura di rete virtuale hub. Per un confronto delle architetture di tipo hub virtuale protetto e rete virtuale hub, vedere Informazioni sulle opzioni disponibili per l'architettura di Gestione firewall di Azure.

In questa esercitazione apprenderai a:

  • Creare la rete virtuale spoke
  • Creare un hub virtuale protetto
  • Connettere le reti virtuali hub-spoke
  • Instradare il traffico all'hub
  • Distribuire i server
  • Creare un criterio firewall e proteggere l'hub
  • Testare il firewall

Importante

La procedura descritta in questa esercitazione usa Firewall di Azure Manager per creare un nuovo hub protetto di Azure rete WAN virtuale. È possibile usare Gestione firewall per aggiornare un hub esistente, ma non è possibile configurare azure zone di disponibilità per Firewall di Azure. È anche possibile convertire un hub esistente in un hub protetto usando il portale di Azure, come descritto in Configurare Firewall di Azure in un hub di rete WAN virtuale. Ma come Firewall di Azure Manager, non è possibile configurare zone di disponibilità. Per aggiornare un hub esistente e specificare zone di disponibilità per Firewall di Azure (scelta consigliata) è necessario seguire la procedura di aggiornamento descritta in Esercitazione: Proteggere l'hub virtuale con Azure PowerShell.

Diagram showing the secure cloud network.

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare un'architettura hub-spoke

Prima di tutto, creare reti virtuali spoke in cui poter collocare i server.

Creare due reti virtuali spoke e le subnet

Le due reti virtuali includeranno ognuna un server del carico di lavoro e saranno protette tramite firewall.

  1. Dalla home page del portale di Azure selezionare Crea una risorsa.
  2. Cercare Rete virtuale e selezionare Crea.
  3. Seleziona la tua sottoscrizione in Sottoscrizione.
  4. In Gruppo di risorse selezionare Crea nuovo e digitare fw-manager-rg come nome e selezionare OK.
  5. Per Nome, digitare Spoke-01.
  6. In Area selezionare Stati Uniti orientali.
  7. Selezionare Avanti: Indirizzi IP.
  8. In Spazio indirizzi accettare il valore predefinito 10.0.0.0/16.
  9. Selezionare Aggiungi subnet.
  10. Per Nome subnet digitare Workload-01-SN.
  11. In Intervallo di indirizzi subnet digitare 10.0.1.0/24.
  12. Seleziona Aggiungi.
  13. Selezionare Rivedi e crea.
  14. Seleziona Crea.

Ripetere questa procedura per creare un'altra rete virtuale simile nel gruppo di risorse fw-manager-rg :

Nome: Spoke-02
Spazio indirizzi: 10.1.0.0/16
Nome subnet: Workload-02-SN
Intervallo di indirizzi subnet: 10.1.1.0/24

Creare l'hub virtuale protetto

Creare l'hub virtuale protetto usando Gestione firewall.

  1. Nella home page del portale di Azure selezionare Tutti i servizi.

  2. Nella casella di ricerca digitare Gestione firewall, quindi selezionare Gestione firewall.

  3. Nella pagina Gestione firewall in Distribuzioni selezionare Hub virtuali.

  4. In Gestione firewall | Pagina Hub virtuali, selezionare Crea nuovo hub virtuale protetto.

    Screenshot of creating a new secured virtual hub.

  5. Selezionare la sottoscrizione.

  6. Per Gruppo di risorse selezionare fw-manager-rg.

  7. In Area selezionare Stati Uniti orientali.

  8. Per Nome hub virtuale protetto, digitare Hub-01.

  9. Per Spazio indirizzi hub digitare 10.2.0.0/16.

  10. Selezionare Nuova rete WAN virtuale.

  11. Per il nuovo nome della rete WAN virtuale digitare Vwan-01.

  12. Per Tipo selezionare Standard.

  13. Lasciare deselezionata la casella di controllo Includere il gateway VPN per abilitare i partner di sicurezza affidabili.

    Screenshot of creating a new virtual hub with properties.

  14. Selezionare Avanti: Firewall di Azure.

  15. Accettare l'impostazione predefinita Firewall di Azure Enabled.

  16. Per Firewall di Azure livello selezionare Standard.

  17. Selezionare la combinazione desiderata di zone di disponibilità.

Importante

Un rete WAN virtuale è una raccolta di hub e servizi resi disponibili all'interno dell'hub. È possibile distribuire tutti i rete WAN virtuale necessari. In un hub rete WAN virtuale sono disponibili più servizi come VPN, ExpressRoute e così via. Ognuno di questi servizi viene distribuito automaticamente in zone di disponibilità ad eccezione di Firewall di Azure, se l'area supporta zone di disponibilità. Per allinearsi alla resilienza di Azure rete WAN virtuale, è necessario selezionare tutte le zone di disponibilità disponibili.

Screenshot of configuring Azure Firewall parameters.

  1. Selezionare i criteri firewall da applicare nella nuova istanza di Firewall di Azure. Selezionare Default Deny Policy (Criteri di negazione predefiniti) per perfezionare le impostazioni più avanti in questo articolo.

  2. Selezionare Avanti: Provider partner di sicurezza.

    Screenshot of configuring Trusted Partners parameters.

  3. Accettare l'impostazione predefinita Trusted Security PartnerDisabled e selezionare Avanti: Rivedi e crea.

  4. Seleziona Crea.

    Screenshot of creating the Firewall instance.

Nota

La creazione di un hub virtuale protetto può richiedere fino a 30 minuti.

È possibile ottenere l'indirizzo IP pubblico del firewall al termine della distribuzione.

  1. Aprire Gestione firewall.
  2. Selezionare Hub virtuali.
  3. Selezionare hub-01.
  4. In Firewall di Azure selezionare Configurazione IP pubblico.
  5. Prendere nota dell'indirizzo IP pubblico, che verrà usato in seguito.

Connettere le reti virtuali hub-spoke

Eseguire ora il peering tra le reti virtuali hub-spoke.

  1. Selezionare il gruppo di risorse fw-manager-rg e quindi la rete WAN virtuale Vwan-01.

  2. In Connettività selezionare Connessioni rete virtuale.

    Screenshot of adding Virtual Network connections.

  3. Selezionare Aggiungi connessione.

  4. Per Nome connessione, digitare hub-spoke-01.

  5. Per Hub, selezionare Hub-01.

  6. Per Gruppo di risorse selezionare fw-manager-rg.

  7. Per Rete virtuale, selezionare Spoke-01.

  8. Seleziona Crea.

  9. Ripetere la connessione alla rete virtuale Spoke-02: nome connessione - hub-spoke-02

Distribuire i server

  1. Nel portale di Azure fare clic su Crea una risorsa.

  2. Selezionare Windows Server 2019 Datacenter nell'elenco Popolari .

  3. Immettere i valori seguenti per la macchina virtuale:

    Impostazione Valore
    Gruppo di risorse fw-manager-rg
    Virtual machine name Srv-workload-01
    Area (Stati Uniti) Stati Uniti orientali
    Nome utente amministratore digitare un nome utente
    Password digitare una password

  4. In Regole porta in ingresso, per Porte in ingresso pubbliche, selezionare Nessuna.

  5. Accettare le altre impostazioni predefinite e selezionare Avanti: Dischi.

  6. Accettare le impostazioni predefinite del disco e selezionare Avanti: Rete.

  7. Selezionare Spoke-01 per la rete virtuale e Workload-01-SN per la subnet.

  8. In IP pubblico selezionare Nessuno.

  9. Accettare le altre impostazioni predefinite e selezionare Avanti: Gestione.

  10. Selezionare Avanti:Monitoraggio.

  11. Selezionare Disabilita per disabilitare la diagnostica di avvio. Accettare tutte le altre impostazioni predefinite e selezionare Rivedi e crea.

  12. Verificare le impostazioni nella pagina di riepilogo e quindi selezionare Crea.

Usare le informazioni della tabella seguente per configurare un'altra macchina virtuale denominata Srv-Workload-02. Il resto della configurazione è uguale a quella della macchina virtuale Srv-workload-01.

Impostazione Valore
Rete virtuale Spoke-02
Subnet Workload-02-SN

Dopo la distribuzione dei server, selezionare una risorsa server e in Rete prendere nota dell'indirizzo IP privato di ogni server.

Creare un criterio firewall e proteggere l'hub

Un criterio firewall definisce raccolte di regole per indirizzare il traffico su uno o più hub virtuali protetti. Sarà perciò necessario creare il criterio firewall e quindi proteggere l'hub.

  1. In Gestione firewall selezionare Firewall di Azure criteri.

    Screenshot of creating an Azure Policy with first step.

  2. Selezionare Crea criterio firewall di Azure.

    Screenshot of configuring Azure Policy settings in first step.

  3. Per Gruppo di risorse selezionare fw-manager-rg.

  4. In Dettagli criteri, per Nome digitare Policy-01 e per Area selezionare Stati Uniti orientali.

  5. Per Livello criteri selezionare Standard.

  6. Selezionare Avanti: Impostazioni DNS.

    Screenshot of configuring DNS settings.

  7. Selezionare Avanti: Ispezione TLS.

    Screenshot of configuring TLS settings.

  8. Selezionare Avanti: Regole.

  9. Nella scheda Regole selezionare Aggiungi una raccolta regole.

    Screenshot of configuring Rule Collection.

  10. Nella pagina Aggiungi una raccolta regole digitare App-RC-01 per Nome.

  11. Per Tipo di raccolta regole, selezionare Applicazione.

  12. In Priorità digitare 100.

  13. Verificare che Azione raccolta regole sia Consenti.

  14. Come Nome della regola, digitare Allow-msft.

  15. Per Tipo di origine, selezionare Indirizzo IP.

  16. Per Origine, digitare *.

  17. Per Protocollo, digitare http,https.

  18. Verificare che Tipo di destinazione sia impostato su FQDN.

  19. In Destinazione digitare *.microsoft.com.

  20. Seleziona Aggiungi.

  21. Aggiungere una regola DNAT per poter connettere un desktop remoto alla macchina virtuale Srv-Workload-01 .

    1. Selezionare Aggiungi/Regola raccolta.
    2. In Nome digitare dnat-rdp.
    3. Per Tipo di raccolta regole, selezionare DNAT.
    4. In Priorità digitare 100.
    5. Per Nome della regola digitare Allow-rdp.
    6. Per Tipo di origine, selezionare Indirizzo IP.
    7. Per Origine, digitare *.
    8. In Protocollo selezionare TCP.
    9. In Porte di destinazione digitare 3389.
    10. In Tipo di destinazione selezionare Indirizzo IP.
    11. Per Destinazione, digitare l'indirizzo IP pubblico del firewall annotato in precedenza.
    12. Per Tipo tradotto selezionare Indirizzo IP.
    13. Per Indirizzo convertito, digitare l'indirizzo IP privato per la macchina virtuale Srv-Workload-01 annotato in precedenza.
    14. Per Porta tradotta digitare 3389.
    15. Seleziona Aggiungi.

  22. Aggiungere una regola di rete per poter connettere un desktop remoto da Srv-Workload-01 a Srv-Workload-02.

    1. Selezionare Aggiungi una raccolta regole.
    2. Per Nome, digitare vnet-rdp.
    3. In Tipo di raccolta regole selezionare Rete.
    4. In Priorità digitare 100.
    5. Per Azione della raccolta regole selezionare Consenti.
    6. Per Nome della regola, digitare Allow-vnet.
    7. Per Tipo di origine, selezionare Indirizzo IP.
    8. Per Origine, digitare *.
    9. In Protocollo selezionare TCP.
    10. In Porte di destinazione digitare 3389.
    11. In Tipo di destinazione selezionare Indirizzo IP.
    12. Per Destinazione, digitare l'indirizzo IP pubblico della macchina virtuale Srv-Workload-02 annotato in precedenza.
    13. Seleziona Aggiungi.

  23. Selezionare Avanti: IDPS.

  24. Nella pagina IDPS selezionare Avanti: Intelligence sulle minacce

    Screenshot of configuring IDPS settings.

  25. Nella pagina Intelligence per le minacce accettare le impostazioni predefinite e selezionare Rivedi e crea:

    Screenshot of configuring Threat Intelligence settings.

  26. Rivedere per confermare la selezione e quindi selezionare Crea.

Associare i criteri

Associare i criteri firewall all'hub.

  1. In Gestione firewall selezionare Firewall di Azure Criteri.

  2. Selezionare la casella di controllo per Policy-01.

  3. Selezionare Gestisci associazioni, Associa hub.

    Screenshot of configuring Policy association.

  4. Selezionare hub-01.

  5. Seleziona Aggiungi.

    Screenshot of adding Policy and Hub settings.

Instradare il traffico all'hub

A questo punto è necessario assicurarsi che il traffico di rete venga instradato attraverso il firewall.

  1. Da Gestione firewall selezionare Hub virtuali.

  2. Selezionare Hub-01.

  3. In Impostazioni selezionare Configurazione della sicurezza.

  4. In Traffico Internet selezionare Firewall di Azure.

  5. In Traffico privato selezionare Send via Azure Firewall (Invia tramite Firewall di Azure).

    Nota

    Se si usano intervalli di indirizzi IP pubblici per le reti private in una rete virtuale o in un ramo locale, è necessario specificare in modo esplicito questi prefissi di indirizzo IP. Selezionare la sezione Prefissi traffico privato e quindi aggiungerli insieme ai prefissi degli indirizzi RFC1918.

  6. In Inter-hub selezionare Abilitato per abilitare la funzionalità rete WAN virtuale finalità di routing. La finalità di routing è il meccanismo attraverso il quale è possibile configurare rete WAN virtuale per instradare il traffico da ramo a ramo (locale a locale) tramite Firewall di Azure distribuito nell'hub rete WAN virtuale. Per altre informazioni sui prerequisiti e sulle considerazioni associate alla funzionalità di finalità di routing, vedere la documentazione sulla finalità di routing.

  7. Seleziona Salva.

  8. Selezionare OK nella finestra di dialogo Avviso .

    Screenshot of Secure Connections.

    Nota

    L'aggiornamento delle tabelle di route richiede alcuni minuti.

  9. Verificare che le due connessioni mostrino Firewall di Azure protegge sia il traffico Internet che il traffico privato.

    Screenshot of Secure Connections final status.

Testare il firewall

Per testare le regole del firewall, si connetterà un desktop remoto usando l'indirizzo IP pubblico del firewall, che è NATed a Srv-Workload-01. Da qui verrà usato un browser per testare la regola dell'applicazione e connettere un desktop remoto a Srv-Workload-02 per testare la regola di rete.

Testare la regola dell'applicazione

A questo punto testare le regole del firewall per verificare che tutto funzioni come previsto.

  1. Connettere un desktop remoto all'indirizzo IP pubblico del firewall, quindi accedere.

  2. Aprire Internet Explorer e passare a https://www.microsoft.com.

  3. Selezionare OK>Close negli avvisi di sicurezza di Internet Explorer.

    Verrà visualizzata la home page Microsoft.

  4. Passa a https://www.google.com.

    Si verrà bloccati dal firewall.

A questo punto è stato verificato che la regola dell'applicazione del firewall funziona:

  • È possibile passare al nome di dominio completo consentito ma non agli altri.

Testare la regola di rete

Ora testare la regola di rete.

  • Da Srv-Workload-01 aprire un desktop remoto all'indirizzo IP privato Srv-Workload-02.

    Un desktop remoto dovrebbe connettersi a Srv-Workload-02.

A questo punto è stato verificato che la regola di rete del firewall funziona:

  • È possibile connettere un desktop remoto a un server che si trova in un'altra rete virtuale.

Pulire le risorse

Al termine del test delle risorse del firewall, eliminare il gruppo di risorse fw-manager-rg per eliminare tutte le risorse correlate al firewall.

Passaggi successivi

Vedere le informazioni sui partner di sicurezza affidabili